Allgemeine Frage zu Freigaben und Rechten in einem AD
Sicherheiten bei Netzwerkfreigaben einstellen per Freigaberechte oder per Sicherheitsrechte?
Hallo Gemeinde,
wie oben geschrieben interessiert mich der Punkt der "richtigen" Freigabemöglichkeit.
Zur Zeit halte ich es so, das ich Freigaben auf dem Server (W2k3 SBS) mit in den Freigabeoptionen mit Vollzugriff laufen habe.
Alle User des AD haben das Recht "Auflisten".
Für die jeweiligen Gruppen stelle ich alles über die Sicherheitsrechte ein.
Ist jemand dem AD nicht bekannt sieht er gar nichts.
Das ist für mich die logischste Lösung, da ich in Freigaben nicht wirklich detailiert einstellen kann....
Wie seht ihr das? Wie macht ihr es bei euren Netzen?
Danke im Voraus!
Gruß Sam
Hallo Gemeinde,
wie oben geschrieben interessiert mich der Punkt der "richtigen" Freigabemöglichkeit.
Zur Zeit halte ich es so, das ich Freigaben auf dem Server (W2k3 SBS) mit in den Freigabeoptionen mit Vollzugriff laufen habe.
Alle User des AD haben das Recht "Auflisten".
Für die jeweiligen Gruppen stelle ich alles über die Sicherheitsrechte ein.
Ist jemand dem AD nicht bekannt sieht er gar nichts.
Das ist für mich die logischste Lösung, da ich in Freigaben nicht wirklich detailiert einstellen kann....
Wie seht ihr das? Wie macht ihr es bei euren Netzen?
Danke im Voraus!
Gruß Sam
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127019
Url: https://administrator.de/forum/allgemeine-frage-zu-freigaben-und-rechten-in-einem-ad-127019.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo Sam,
du kannst mit eine Freigabe sehr genau die NTFS Rechte vergeben. Was machst du zb. wenn dein Chef einen Ordner haben möchte, der nur für ihn und der PA zugänglich sein soll?
Hier bietet es sich an, die User in OU (Organisationseinheiten/Benutzergruppen) aufzuteilen, wo du nun ganz genau bestimmte Rechte vergeben kannst.
Wie du siehst ist das ein wirklich sehr komplexes Thema und würde dir empfehlen in div Büchern mal nachzulesen.
Für den Anfang kannst du ja mal hier nach schauen.
Besten Gruß
Carsten
du kannst mit eine Freigabe sehr genau die NTFS Rechte vergeben. Was machst du zb. wenn dein Chef einen Ordner haben möchte, der nur für ihn und der PA zugänglich sein soll?
Hier bietet es sich an, die User in OU (Organisationseinheiten/Benutzergruppen) aufzuteilen, wo du nun ganz genau bestimmte Rechte vergeben kannst.
Wie du siehst ist das ein wirklich sehr komplexes Thema und würde dir empfehlen in div Büchern mal nachzulesen.
Für den Anfang kannst du ja mal hier nach schauen.
Besten Gruß
Carsten
Grundstruktur mache ich immer so:
- Auf dem Server nur eine einzige Freigabe (\\server\share$) - die wiederum wird per DFS veröffentlicht (\\domain\share)
- Freigabeberechtigung: Jeder: Lesen, Ändern (Niemals Vollzugriff - Wichtig!)
- Sicherheitsberechtigung: Alles raus außer SYSTEM und Domänen-Administratoren
Danach fange ich da drin an die Ordner aufzubauen und zwar immer so, dass ich das Attribut "Verweigern" niemals benutzen muss.
Grüße
Max
- Auf dem Server nur eine einzige Freigabe (\\server\share$) - die wiederum wird per DFS veröffentlicht (\\domain\share)
- Freigabeberechtigung: Jeder: Lesen, Ändern (Niemals Vollzugriff - Wichtig!)
- Sicherheitsberechtigung: Alles raus außer SYSTEM und Domänen-Administratoren
Danach fange ich da drin an die Ordner aufzubauen und zwar immer so, dass ich das Attribut "Verweigern" niemals benutzen muss.
Grüße
Max
DFS sagt mir noch nichts
Das erspart dir nur eine Menge ärger falls sich mal irgendwann der Name eines Fileservers ändert
Ändern und Vollzugriff bei der Freigabe?
Bei Vollzugriff können dir die User auf dem Kopf rumtanzen, obwohl es in den NTFS-Berechtigungen nicht so aussieht.
Da kann man stundenlang Suchen wieso das Sicherheitskonzept nicht klappt...
sieht der Client ja gar nichts.
Stimmt, das ist aus meiner Sicht auch gut so.
Bei dem Beispiel von Carsten würde ich für Chef & PA einfach ein Netzlaufwerk verbinden (Die Struktur wäre ähnlich der in deinem zweiten Ansatz).
Es gibt aber auch noch einen anderen Trick:
Dazu brauchst du folgende Struktur:
\\domain\share\common\Nur Für Cheffe
Den common Ordner verbindest du bei allen Mitarbeitern als Netzlaufwerk.
Jetzt gehst du bei den NTFS-Rechten über Erweitert, fügst "Alle Authentifizierten Benutzer" hinzu und wählst bei "Übernehmen für": "Nur diesen Ordner", dann hakst du alles an was ein "lesen" enthält.
Jetzt nimmst du dir den Ordner "Nur Für Cheffe" und fügst dort Lesen, Ändern Rechte für die Gruppe mit Chef und PA hinzu.
Damit das ganze jetzt funktioniert musst du zum Schluss noch ABE auf dem Server installieren:
http://www.microsoft.com/downloads/details.aspx?FamilyID=04A563D9-78D9- ...
Somit können alle Mitarbeiter den Ordner Common auflisten (und ggf. auf Unterordner zugreifen), aber den Chef Ordner sehen sie erst garnicht.
Grüße
Max